Raccogliere i log delle attività di Trend Micro Vision One

Supportato in:

Questo documento spiega come importare i log delle attività di Trend Micro Vision One in Google Security Operations utilizzando AWS S3. Il parser trasforma i log delle attività di Trend Micro Vision One dal formato JSON in un modello di dati unificato (UDM).

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato a Trend Micro Vision One.

Configurare il logging su Trend Micro Vision One

  1. Accedi alla console Trend Micro Vision One.
  2. Vai a Flusso di lavoro e Automation > Integrazione di terze parti.
  3. Fai clic su Google Security Operations SIEM.
  4. In Chiave di accesso, fai clic su Genera chiave.
  5. Copia e salva l'ID chiave di accesso e la chiave di accesso segreta.
  6. In Trasferimento dati, attiva l'opzione di attivazione/disattivazione accanto a Dati attività.
  7. Viene generato un URI S3 e i dati iniziano a essere inviati al bucket S3 corrispondente.
  8. Copia e salva l'URI S3 in un luogo sicuro.
  9. (Facoltativo) Per i dati di eventi e attività, fai clic su Modifica per modificare l'ambito dei dati. La modifica dell'ambito non influisce sull'URI S3 generato.

Configurare i feed

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log attività Trend Micro Vision One).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona Attività Trend Micro Vision One come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket (il formato deve essere: s3://log-bucket-name/). Sostituisci quanto segue:
      • log-bucket-name: il nome del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file. I dati nel bucket S3 vengono conservati per 7 giorni prima di essere eliminati.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Configurare i feed da Content Hub

Specifica i valori per i seguenti campi:

  • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket (il formato deve essere: s3://log-bucket-name/). Sostituisci quanto segue:
      • log-bucket-name: il nome del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file. I dati nel bucket S3 vengono conservati per 7 giorni prima di essere eliminati.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.